আপনি যখন বাড়িতে পৌঁছান, আপনি দরজার সামনে দাঁড়িয়ে আপনার চাবিগুলির জন্য ঘুরে বেড়ান, তারপর আপনার প্রবেশদ্বার আনলক করতে সেগুলি ব্যবহার করুন৷ আপনি একটি কোড টাইপ করেন না, আপনি দরজার সাথে কথা বলেন না এবং আপনি ধাঁধার উত্তর দেন না যেন আপনি স্ফিংক্সের সাথে কথা বলছেন। এটি তুলনামূলকভাবে নিরাপদ যখন আপনাকে ব্যাপক মাথাব্যথা দেয় না।
এর ইন্টারনেট সংস্করণটি মূলত U2F কী। যদিও আপনাকে এখনও আপনার পাসওয়ার্ড টাইপ করতে হবে, দ্বি-ফ্যাক্টর প্রমাণীকরণের সাথে আপনাকে যে অতিরিক্ত কাজ করতে হবে তা অদৃশ্য হয়ে যায় কারণ আপনাকে যা করতে হবে তা হল একটি USB স্লটে আপনার ফিজিক্যাল কী ঢোকানো। কিন্তু এই পদ্ধতি কি অন্তত অন্যান্য প্রমাণীকরণ পদ্ধতির মতো নিরাপদ? এবং সম্ভবত আরও গুরুত্বপূর্ণ, এটি কি নতুন কিছু সম্বোধন করে?
U2F প্রমাণীকরণের উপর একটি দ্রুত ক্র্যাশ কোর্স
U2F কীভাবে কাজ করে তা ব্যাখ্যা করার জন্য, আপনাকে অবশ্যই দ্বি-ফ্যাক্টর প্রমাণীকরণ বুঝতে হবে। আপনি যদি এই জাতীয় ধারণার সাথে অপরিচিত হন তবে আসুন একটি কার্যকরী উদাহরণ হিসাবে Google প্রমাণীকরণকারী ব্যবহার করুন:আপনি গুগলে প্রবেশ করতে আপনার লগইন বিশদ টাইপ করুন এবং তারপরে তাদের সার্ভার আপনাকে ছয়টি পেতে আপনার ফোনে Google প্রমাণীকরণ অ্যাপ খুলতে বলে। ডিজিট ওয়ান-টাইম পাসওয়ার্ড। এই শেষ ধাপটি নিশ্চিত করে যে আপনার অ্যাকাউন্টে লগ ইন করা ব্যক্তি সেই একই ব্যক্তি যিনি GA ইনস্টল করা ফোনটির মালিক (সম্ভবত, তিনিই আপনি!)। কিছু সত্তা (উদাহরণস্বরূপ ব্যাঙ্ক) আপনার অ্যাকাউন্টের সাথে যুক্ত ফোন নম্বরে একটি এসএমএস পাঠায় একটি ছয় থেকে আট সংখ্যার কোড সহ একই ফলাফল অর্জন করতে। অন্যরা (সাধারণত ব্যাঙ্কগুলিও) আপনাকে একটি টোকেন ডিভাইস দেবে যা এই নম্বরগুলি তৈরি করে৷
ঠিক আছে, তাই দ্বি-ফ্যাক্টর প্রমাণীকরণ আপনাকে লগ ইন করার জন্য দুটি জিনিস ব্যবহার করবে (তাই নাম):আপনার পাসওয়ার্ড এবং একটি অতিরিক্ত কোড আপনার কাছে থাকা শারীরিক কিছুর সাথে যুক্ত যা শুধুমাত্র একবার ব্যবহার করা যেতে পারে।
এখন যেহেতু আমরা এটিকে বাদ দিয়েছি, এইভাবে U2F কিছু সহজ কথায় কাজ করে:এটি আপনার জন্য এই সমস্ত কিছু একটি ফিজিক্যাল কী আকারে করে, যেমন আপনি দরজা খুলতে ব্যবহার করেন। কীটি একটি USB স্লটে ঢোকানো হয়, এবং আপনি আপনার লগইন শেষ করতে একটি বোতাম টিপুন। সেই বোতামটি চাপলে একটি অ্যালগরিদম ট্রিগার হয় যা অভ্যন্তরীণভাবে একটি কোড তৈরি করে এবং এটি স্বয়ংক্রিয়ভাবে প্রমাণীকরণকারী সার্ভারে পাঠায়।
যথেষ্ট সহজ, তাই না?
কেন U2F?
আপনি যদি অতিরিক্ত কিছু না কিনে বাক্সের বাইরে দ্বি-ফ্যাক্টর প্রমাণীকরণ ব্যবহার করতে পারেন, তাহলে কেন লোকেদের একটি শারীরিক কী পেতে তাদের পথের বাইরে যেতে হবে? ব্যবসার জন্য, উত্তরটি সুস্পষ্ট:আপনাকে আপনার কর্মীদের ব্যয়বহুল টোকেন ডিভাইস কিনতে হবে না। কিন্তু ভোক্তাদের জন্য সুবিধা কি? আসুন সেগুলি দেখি:
- আপনাকে কখনই কোড টাইপ করতে হবে না, যা খুবই সুবিধাজনক।
- যেহেতু আপনাকে কোড টাইপ করতে হবে না, তাই কী দ্বারা স্বয়ংক্রিয়ভাবে প্রেরিত অভ্যন্তরীণ কোড দীর্ঘ হতে পারে (সাধারণত প্রায় 32টি অক্ষর)।
- আপনাকে আপনার ফোনের উপর নির্ভর করতে হবে না। (যদি আপনার ফোন ভেঙে যায় বা আপনি আপনার নম্বর পরিবর্তন করেন?)
দ্যা ক্যাভেটস
যে কারণে আমি U2F এত বিস্তৃতভাবে প্রয়োগ করা দেখতে পাচ্ছি না তা হল দ্বি-ফ্যাক্টর প্রমাণীকরণ ইতিমধ্যে মান সেট করেছে। এটি সহজলভ্য এবং পরিষেবা প্রদানকারীদের বাস্তবায়নের জন্য যথেষ্ট সহজ। বর্তমানে শুধুমাত্র Google, Facebook, Dropbox, এবং GitHub-এর মতো প্রধান পরিষেবাগুলি সামঞ্জস্যের গর্ব করে৷
এই সমস্যাটি ছাড়াও, এটি কী সম্বোধন করে তার সমস্যাও রয়েছে। সহজ ভাষায় বললে, এটিকে দ্বি-ফ্যাক্টর প্রমাণীকরণের একটি মহিমান্বিত সংস্করণ হিসেবে দেখা হবে যা ব্যবহারে সামান্য বেশি সুবিধাজনক। এটা কোন ব্যাপার না যে U2F ম্যান ইন দ্য মিডল অ্যাটাককে আরও দক্ষতার সাথে সম্বোধন করে (যদিও এটি বিতর্কিত, এবং আমরা এটিতে পৌঁছাব)। আপনি যখন একটি ধারণা বিক্রি করার চেষ্টা করছেন তখন উপলব্ধি আরও গুরুত্বপূর্ণ।
সম্ভবত আরও গুরুত্বপূর্ণ সতর্কতা হল যে U2F হ্যাকারকে আপনার ট্রাফিক হাইজ্যাক করা এবং আপনার ব্রাউজারে আপনার ব্যবহারকারী এজেন্টকে ফাঁকি দিয়ে আপনার ছদ্মবেশ রোধ করতে খুব কম করে। এই সত্যটি একাই U2F এর জন্য "উচ্চ নিরাপত্তা" যুক্তিকে বিতর্কিত করে তোলে।
The Takeaway
যদিও U2F অগত্যা দ্বি-ফ্যাক্টর প্রমাণীকরণের চেয়ে বেশি সুরক্ষিত নয়, এটি লক্ষণীয় যে এটি একটি ইতিবাচক দিকে কয়েকটি পদক্ষেপ নেয় (যেমন কী দৈর্ঘ্য বৃদ্ধি করা, শেষ ব্যবহারকারীদের জন্য হতাশাজনক প্রমাণীকরণ বাধা দূর করা ইত্যাদি)। একটি প্রযুক্তি হিসাবে, এটি "বিপ্লবী" নাও হতে পারে তবে এটি অবশ্যই এটির কাজ এমনভাবে করে যা যারা এতে বিনিয়োগ করে তাদের জন্য আরও সুবিধাজনক। U2F ব্যবসার জন্য আকর্ষণীয় হতে পারে, কিন্তু ভোক্তারা হয়ত এই ছোট ডিভাইসে $50 মূল্যের দাম খুঁজে পাবেন না।
আসুন কিছু আকর্ষণীয় আলোচনা করা যাক। একটি U2F কী কিনতে আপনাকে কী বোঝাবে? নাকি আপনি ইতিমধ্যে নিশ্চিত? একটি মন্তব্যে এটি সম্পর্কে আমাদের সব বলুন!
